![[Spring] Spring Security + MockMvc 로 테스트시 주의할 점(feat. kotlin)](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbDvP0f%2FbtsIeDPEASH%2FrmX0xCx9NF5Kt5MHPuNzf0%2Fimg.png)
728x90
발단
Spring Security 와 MockMvc 를 Kotlin 환경에서 검증을 하던 도중 설정(config)이 옳음에도 테스트의 결과가 일관된 반응을 하는 현상을 발견하여 그 이유를 알아보고 왜 그러하였는지 과정을 작성합니다.
Kotlin 고차함수 & 함수형 인터페이스
[Kotlin] 함수에 인자로 함수를 사용할 수 있다?(feat. 고차함수,
고차 함수 fun m1(action: () -> Unit) { action() }고차 함수는 함수를 인자로 받거나 함수를 반환하는 함수 입니다. Kotlin 에서는 함수 매개변수를 사용할 수 있습니다. 람다 표현식val sum: (Int, Int) -> Int
atsky.tistory.com
- Kotlin 의 고차함수에 대하여 위 글을 통해 개념을 간단히 보시면 더 이해가 쉽습니다.
- SAM(Single Abstract Method) 변환에 대해서도 다루고 있습니다.
MockMvc 호출을 Kotlin 으로 표현하는 2가지 방식
import org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get
..
@Autowired
lateinit var mockMvc: MockMvc
// 정석적인 호출
mockMvc.perform(
get("/api/test")
)..
// SAM 변환을 사용한 호출
mockMvc.perform {
get("/api/test")
.buildRequest(it)
}..- 정석적인 호출: perform 함수의 매개변수인 `RequestBuilder` 를 반환 타입으로 가지는 함수(get, put..)를 호출하여 처리할 수 있습니다.
- SAM 변환 호출: perform 의 반환타입인 `MockHttpServletRequest` 를 반환하게끔 처리할 수 있습니다.
2가지 방식을 호출할 가능성
- 제가 사용하고 있는 Intellij 의 경우 SAM 변환이 가능한 호출의 경우 SAM 변환 방식을 선 추천해주고 있습니다.
- 따라서, 2가지 방식 어느것이든 같은 결과를 가질 것이라 예측하고 의심없이 사용하게 될 수 있다고 생각됩니다.
Spring Security 와 사용시 문제 발생
..
@Test
@WithMockUser(roles = ["MANAGER"]) // spring security test 를 위한 annotation 으로 인증된 가상 사용자를 제공합니다.
fun test1() {
..
// `/api/test` 엔드포인트는 `MANAGER` 권한이 있어야 접근이 가능합니다.
mockMvc
// 정석적인 호출
.perform(get("/api/test"))
// SAM 변환 호출
.perform {
get("/api/test").buildRequest(it)
}
.andExpect {
// 인증된 가상 사용자 권한을 추가하였기에 검증을 통과하여야 합니다.
Assertions.assertEquals(it.response.status, 200)
}
}- 정석적인 호출 사용시 @WithMockUser 로 제공한 가상 사용자 권한이 허용되어 검증을 통과합니다.
- 그러나, SAM 변환 사용시 사용자 권한 검증에 통과하지 못하게 됩니다.
문제 발생 이유
- 위에서 언급하였던 mockMvc.perform(..) 함수의 파라미터 타입은 `RequestBuilder` 입니다.
- 그런데 SAM 변환을 적용하면서 저는 RequestBuilder 타입을 반환하는 람다를 인자로 전달하였습니다.
- 이는 ..perform(..) 내부 동작에 문제가 발생하게 만듭니다.
defaultRequestBuilder 와 Merge 가 되지 않아 TestSecurityContext 미적용
// MockMvc.perform 메서드 일부
public ResultActions perform(RequestBuilder requestBuilder) throws Exception {
// requestBuilder 는 Mergeable 인스턴스의 일부인지 묻고 있습니다.
if (this.defaultRequestBuilder != null && requestBuilder instanceof Mergeable) {
requestBuilder = (RequestBuilder)((Mergeable)requestBuilder).merge(this.defaultRequestBuilder);
}
...
}
// (Mergeable)requestBuilder.merge 메서드 일부
public Object merge(@Nullable Object parent) {
...
this.postProcessors.addAll(0, parentBuilder.postProcessors);
return this;
...
}
// TestSecurityContextHolderPostProcessor.postProcessRequeset 메서드 일부
private static final class TestSecurityContextHolderPostProcessor extends SecurityContextRequestPostProcessorSupport implements RequestPostProcessor {
...
public MockHttpServletRequest postProcessRequest(MockHttpServletRequest request) {
...
// TestSecurityContext 를 SecurityContext 로 대체
SecurityContext context = TestSecurityContextHolder.getContext();
if (!this.EMPTY.equals(context)) {
this.save(context, request);
}
return request;
...
}
}- MockMvc.perform 코드블럭의 첫 if 문에 따라 requestBuilder 가 Mergeable 인스턴스에 포함된다면 merge 함수를 통해 defaultRequestBuilder 와 merge 해주고 있습니다.
- 저는 requestBuilder 를 SAM 변환을 통해 람다로 제공하였기에 람다는 Mergeable 인스턴스가 아니라 merge 를 호출할 수 없었습니다.
- merge 메서드 내부 동작을 살펴보면 parentBuilder(defaultRequestBuilder)로 부터 postProcessors 를 merge 하고 있는 것을 알 수 있습니다.
- parentBuilder.postProcessors 내부에는 SecurityMockMvcRequestPostProcessors 클래스가 포함되어 있습니다.
- 이 클래스의 postProcessRequest 메서드는 TestSecurityContext 를 현재 호출의 context 로 대체하여 줍니다.
- 따라서, @WithMockUser 로 제공한 정보를 context 에 반영하게 되어 인증/권한 정보를 가진 채로 호출할 수 있게 됩니다.
결론
- Builder 패턴혹은 호출전 다양한 설정이 적용되어야 하는 클래스의 경우 설정 적용을 위해 내부적으로 다양한 조건문을 사용할 수 있습니다.
- 이는 인터페이스 혹은 고차함수 등으로 복잡한 인수가 포함될 수 있습니다.
- 따라서, 정석적이 방식의 호출을 사용하는 것이 오류 확률을 줄여줄 것이라 생각합니다.
- 위 경우처럼 본인이 구현한 동작이 아니고서야 SAM 변환은 줄이는 것이 좋겠다는 생각이 듭니다.
728x90